Les assurances dédiées à la couverture des risques liés à la cybercriminalité (communément appelées « cyber-assurances ») font de plus en plus parler d’elles ces derniers mois. Pourtant, si le marché outre atlantique est déjà florissant, les volumes de primes souscrites en France restent limités. Assureurs et courtiers constatent pourtant un fort accroissement des demandes de cotation en 2012, faisant penser à un réel démarrage de ce segment de marché en France en 2014. Alors les cyber-assurances : bonne ou mauvaise solution ?
La cyber-assurance : pour quoi faire ?
Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?
Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.
Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.
La cyber-assurance : pour quels risques ?
Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.
- L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.
Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.
- L’entreprise étendue, génératrice de nouveaux risques
Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.
- Le développement du e-commerce
De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.
En conclusion : dans quels cas prendre une cyber-assurance ?
En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :
- Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
- Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
- Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
- Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)